So erstellen Sie einen Notfallwiederherstellungsplan - Wie Man

So erstellen Sie einen Notfallwiederherstellungsplan

Lernen Sie die Grundlagen für die Erstellung eines Plans kennen, der Sie auf die Wiederherstellung Ihrer Daten vorbereitet und das Geschäft nach einem IT-Deaktivierungsdesaster am Laufen hält.

4 Schritte insgesamt

Schritt 1: Risikoanalyse

Der erste Schritt bei der Erstellung eines Notfallwiederherstellungsplans ist eine gründliche Risikoanalyse Ihrer Computersysteme. Listen Sie alle möglichen Risiken auf, die die Systemverfügbarkeit bedrohen, und bewerten Sie, wie unmittelbar Sie sich in Ihrem IT-Shop befinden. Alles, was zu einem Systemausfall führen kann, ist eine Bedrohung, von relativ häufigen, vom Menschen verursachten Bedrohungen wie Virenangriffen und versehentlichem Löschen von Daten bis hin zu selteneren natürlichen Bedrohungen wie Überschwemmungen und Bränden.

Stellen Sie fest, welche Ihrer Bedrohungen am wahrscheinlichsten auftreten, und priorisieren Sie sie mit einem einfachen System: Ordnen Sie jede Bedrohung in zwei wichtigen Kategorien ein: Wahrscheinlichkeit und Auswirkung. Bewerten Sie die Risiken in jeder Kategorie als niedrig, mittel oder hoch.

Schritt 2: Legen Sie das Budget fest

Wenn Sie Ihre Risiken erkannt haben, fragen Sie: "Was können wir tun, um sie zu unterdrücken, und wie viel kostet das?" Kann ich eine Bedrohung erkennen, bevor sie getroffen wird? Wie kann ich das Potenzial reduzieren? Wie kann ich die Auswirkungen auf das Geschäft minimieren? Unser kleines kalifornisches Internetunternehmen könnte beispielsweise eine Notstromversorgung einsetzen, um die Bedrohung durch Stromausfälle zu verringern, und alle Daten werden täglich auf RAID-Bändern gesichert, die im Falle eines Erdbebens an einem entfernten Standort gespeichert werden.

Je mehr präventive Maßnahmen Sie festlegen, desto besser. Emerson sagt, "Dollar, die in der Prävention ausgegeben werden, sind mehr wert als in der Genesung."

Die Ergebnisse von Schritt 1 sollten eine umfassende Liste möglicher Bedrohungen mit jeweils entsprechender Lösung und Kosten sein. Es ist zwingend erforderlich, dass die IT alle diese Bedrohungen für die Geschäftsbereiche darstellt, damit sie eine fundierte Entscheidung über den Umfang des Notfallwiederherstellungsbudgets treffen können (dh welche Risiken sich das Unternehmen leisten kann, die es zu tolerieren gilt und für die es zu zahlen ist). . Emerson geht davon aus, dass die IT-Abteilung nicht in der Lage ist, die realen Risiken für Systemausfälle den Geschäftsbereichen ihrer Unternehmen mitzuteilen. Er sagt: "Es ist in Ordnung für den Betrieb, nein zu sagen; es ist nicht in Ordnung, dass die IT die Risiken nicht erkennt."

Ein guter Anfang ist es, dem Unternehmen die Kosten für Ausfallzeiten vorzulegen. Wie lange kann sich Ihr Unternehmen leisten, ohne seine Computersysteme zu sein, falls eine Ihrer Bedrohungen auftritt?

Letztendlich entscheidet der Geschäftsbereich, welche Bedrohungen das Unternehmen tolerieren kann. Laut Emerson schießen IT-Abteilungen bei der Entwicklung eines DRP "ohne diese geschäftlichen Hinweise" in die Dunkelheit. Sowohl die IT als auch die Geschäftseinheiten müssen sich darauf einigen, welche Daten und Anwendungen für das Unternehmen am wichtigsten sind und im Katastrophenfall am schnellsten wiederhergestellt werden müssen. Das Management unseres kleinen Internetunternehmens kann beispielsweise entscheiden, dass es das Budget nur für die Notstromaggregate bereitstellen kann, und das Unternehmen muss das Risiko eines Erdbebens übernehmen.

Das Budget für die Notfallwiederherstellung ist von Unternehmen zu Unternehmen unterschiedlich, beträgt jedoch normalerweise 2 bis 8 Prozent des gesamten IT-Budgets. Unternehmen, für die die Systemverfügbarkeit von entscheidender Bedeutung ist, befinden sich normalerweise am oberen Ende der Skala, während Unternehmen, die ohne diese Funktion arbeiten können, am unteren Ende der Skala liegen. Diese Prozentsätze können jedoch zu klein sein. Für einen großen IT-Shop sind laut Emerson 15 Prozent eine Best-Practice-Daumenregel.

Schritt 3: Entwickeln Sie den Plan

Die Rückmeldungen der Geschäftseinheiten werden Ihre DRP-Verfahren prägen. Wenn sie beispielsweise feststellen, dass das Unternehmen innerhalb von 48 Stunden nach einem Vorfall betriebsbereit sein muss, um funktionsfähig zu bleiben, können Sie die Zeit berechnen, die für die Ausführung des Wiederherstellungsplans erforderlich wäre, und das Unternehmen in diesem Zeitraum wieder in Betrieb nehmen. Emerson schlägt vor, dass Sie die Wiederherstellungssysteme 24 Stunden vor dem Start getestet, konfiguriert und erneut getestet haben. Er sagt, das Setup dauert zwischen 40 Stunden und Tagen.

Die Wiederherstellungsprozedur sollte in einem detaillierten Plan oder "Skript" geschrieben sein. Richten Sie aus den IT-Mitarbeitern ein Wiederherstellungsteam ein, und weisen Sie jedem Mitglied bestimmte Wiederherstellungsaufgaben zu. Die Art und Weise, in der Ihr Team die Wiederherstellung durchführt, wird sich wahrscheinlich nicht von den regulären Produktionsverfahren unterscheiden: Die Befehlskette wird sich wahrscheinlich nicht ändern, ebenso wenig wie die Aspekte des Netzwerks, für die jedes Mitglied verantwortlich ist.

Definieren Sie, wie mit dem Verlust verschiedener Aspekte des Netzwerks (Datenbanken, Server, Bridges / Router, Kommunikationsverbindungen usw.) umzugehen ist, und legen Sie fest, wer Reparaturen oder Rekonstruktionen vornimmt, und wie der Datenwiederherstellungsprozess abläuft. Das Skript beschreibt auch die Prioritäten für die Wiederherstellung: Was muss zuerst wiederhergestellt werden? Wie ist das Kommunikationsverfahren für die Erstbefragten? Erstellen Sie zur Ergänzung des Skripts eine Prüfliste oder ein Testverfahren, um zu überprüfen, ob nach der Reparatur und Wiederherstellung der Daten alles wieder normal ist.

Schritt 4: Test, Test, Test

Sobald Ihr DRP eingestellt ist, testen Sie es regelmäßig. Eventuell müssen Sie eine Wiederherstellung Ihrer Komponenten auf Komponentenebene durchführen, um eine realistische Einschätzung Ihres Wiederherstellungsvorgangs zu erhalten. Wenn Sie jedoch das Wiederherstellungsverfahren regelmäßig durchlaufen, wird sichergestellt, dass jeder seine Rollen kennt. Testen Sie regelmäßig die Systeme, die Sie bei der Wiederherstellung verwenden, um zu überprüfen, ob alle Teile funktionieren. Notieren Sie immer Ihre Testergebnisse und aktualisieren Sie das DRP, um eventuelle Mängel zu beheben.

Wenn sich Ihre Geschäftsumgebung ändert, sollte sich auch Ihr DRP ändern. Überprüfen Sie den Plan jedes Jahr auf hohem Niveau: Benötigen Sie noch jeden Teil des Plans?

Müssen Sie hinzufügen? Muss das Budget angepasst werden, um Änderungen am Plan zu berücksichtigen? Wenn Anwendungen, Hardware und Software zu Ihrem Netzwerk hinzugefügt werden, müssen sie in den Plan aufgenommen werden. Neue Mitarbeiter müssen in Wiederherstellungsverfahren geschult werden. Es scheint, dass jede Woche neue Bedrohungen für das Geschäft auftauchen, und eine solide DRP berücksichtigt sie alle.

Würden Sie tun, wenn ein Sturm Ihr Rechenzentrum überschwemmt? Oder wie würden Sie reagieren, wenn Ihre Server durch einen Stromausfall verdunkelt würden? Wie würden Sie Ihre Daten wiederherstellen und das Unternehmen nach einem unvorhergesehenen Desaster weiterführen? Wenn Katastrophen auf unvorbereitete Unternehmen einwirken, reichen die Folgen von längeren Systemausfällen und den daraus resultierenden Ertragseinbußen für die vollständig auslaufenden Unternehmen, dennoch sind viele IT-Shops nicht bereit, mit solchen Szenarien fertig zu werden.

Der Schlüssel zum Überleben eines solchen Ereignisses ist eine Strategie für die Geschäftskontinuität, eine Reihe von Richtlinien und Verfahren zum Reagieren auf und Beheben einer IT-Deaktivierung. Die Hauptkomponente einer Strategie für die Geschäftskontinuität ist ein Notfallwiederherstellungsplan (DRP). In diesem Artikel gehen DevX und Cole Emerson, Präsident von Cole Emerson & Associates, Inc., einer Business-Continuity-Beratungsfirma, und Vorsitzender des Vorstands von DRI International, Administratoren eines globalen Zertifizierungsprogramms für Business Continuity / Disaster Recovery-Planer, vor durch die Grundlagen der Schaffung eines effektiven DRP